Windows Server 2008 R2远程访问方案

传统的 PPTP 或 L2TP/IPsec VPN

PPTP 是 Windows 支持的首个 VPN 协议，且 Windows Server 2008 R2 RRAS 仍包含对远程访问 VPN PPTP 服务器的支持。L2TP/IPsec 在 Windows 2000 Server 中引入。PPTP 使用点对点 (PPP) 协议进行身份验证，并使用 Microsoft 点对点加密 (MPPE) 进行数据加密。出于安全考虑，通常 PPTP 不会用于现代 VPN 部署，但它具有易于部署的优点。如果您选择对您的 VPN 使用 PPTP，通常您需要执行以下操作：

　　1.确定放置 VPN 服务器的网络位置，例如放置在本地网络与 Internet 之间的外围网络中。

　　2.使用两个 NIC 配置 VPN 服务器，一个用于外部网络，另一个用于内部网络。

　　3.配置边缘防火墙，以允许 PPTP 与 VPN 服务器的外部 NIC 之间的数据传输，包括 GRE(IP 协议 47)和 TCP 端口 1723。

　　4.配置 RRAS 以允许 Internet 与本地网络之间的转发。

　　5.将 DNS 地址记录添加到 DNS 服务器，从而可将 VPN 服务器名称解析为其公共 IP 地址。

　　6.配置 Active Directory，以支持连接 VPN 服务器的用户进行远程访问。

　　7.配置 VPN 客户端。

Microsoft 的 L2TP/IPsec 能够提供更出色的安全性;除 PPP 身份验证方法外，它还使用 IPsec 进行计算机相互身份验证。但是，部署 IPsec 需要使用证书，这要求具备公钥基础结构 (PKI)，因此如果您尚未部署该基础结构，这一过程会比较复杂。(对于 PPTP，如果您正在使用智能卡身份验证或 EAP-TLS 身份验证，您只需要一个 PKI)。如需对用户访问进行更精细的控制，可使用 Internet 身份验证服务 (IAS) 服务器，它使用远程访问拨号用户服务 (RADIUS) 协议进行集中身份验证、授权和记帐。部署 L2TP/IPsec 的步骤如下：

　　1.使用至少一个证书颁发机构 (CA) 来部署 PKI。大型机构通常会采用两级或三级 CA 层次结构，而小型机构可使用一个 CA 作为根 CA 以及发行 CA。

　　2.在验证 VPN(或 IAS)服务器上安装计算机证书。

　　3.在 VPN 客户端计算机上安装用户和计算机证书。

　　4.确定放置 VPN 服务器的网络位置，例如放置在本地网络与 Internet 之间的外围网络中。

　　5.使用两个 NIC 配置 VPN 服务器，一个用于外部网络，另一个用于内部网络。

　　6.配置边缘防火墙，以支持 L2TP/IPsec 与 VPN 服务器的外部 NIC 之间的数据传输。

　　7.配置 RRAS 以允许 Internet 与本地网络之间的转发。

　　8.将 DNS 地址记录添加到外部 DNS 服务器，从而将 VPN 服务器名称解析为其公共 IP 地址。

　　9.配置 Active Directory，以支持连接 VPN 服务器的用户进行远程访问。

　　10.配置 VPN 客户端。

请注意，虽然可将 L2TP/IPsec 配置为支持预共享密钥身份验证，但此方法与基于 PKI 的解决方案相比安全性与可伸缩性较差。

在 PPTP 和 L2TP/IPsec 部署中，如果使用 RADIUS 身份验证，则您需要配置 Internet 身份验证服务 (IAS) 服务器、创建远程访问策略，并将 VPN 服务器作为 IAS 服务器的远程身份验证拨号用户服务 (RADIUS) 客户端添加。